「重大なエラーが発生しました」と Microsoft アップデート後にデュアルブート システムが警告する

先週の火曜日、数人の Linux ユーザー (その多くは今年初めにリリースされたパッケージを使用している) が、マシンが起動できないと報告し始めました。代わりに、「重大なエラーが発生しました」というフレーズを含む不可解なエラー メッセージが表示されました。

理由: A 更新する Microsoft は、月例パッチ リリースの一部としてこの更新プログラムをリリースしました。閉店する予定だった 2歳の時の衰弱 で グラブ、多くの Linux デバイスの起動に使用されるオープン ソースのブート ローダー。重大度スコアが 10 点中 8.6 のこの脆弱性により、ハッカーは、Windows またはその他のオペレーティング システムを実行しているデバイスが起動プロセス中にファームウェアやマルウェアを読み込まないようにするための業界標準であるセキュア ブートをバイパスすることができました。 CVE-2022-2601 は 2022 年に発見されましたが、理由は不明ですが、Microsoft がパッチを適用したのは先週の火曜日だけでした。

新旧問わず多くのオペレーティング システムが影響を受けます

火曜日のアップデートにより、デュアル ブート デバイス、つまり Windows と Linux の両方を実行するように構成されたデバイスは、セキュア ブートが強制された場合に後者で起動できなくなりました。ユーザーが Linux をロードしようとすると、「SBAT シム データ チェックに失敗しました: セキュリティ ポリシー違反。重大なエラーが発生しました: SBAT セルフ チェックに失敗しました: セキュリティ ポリシー違反。」というメッセージが表示されました。ほぼ瞬時に サポートします そして 議論 フォーラム 点灯した と レポート 下位 失敗する。

「Windows は、このアップデートは Windows と Linux を実行しているシステムには適用されないと言っていることに注意してください」と、あるイライラした人は書いています。 「これは明らかに真実ではなく、システム構成と実行中のディストリビューションに依存する可能性があります。これにより、一部の Linux efi shim ブートローダーが microcrap efi ブートローダーと互換性がなくなったようです (これが、MS efi から shim への切り替えが機能する理由です)」 efi セットアップのオペレーティング システム”)。Mint には MS SBAT が認識しない shim バージョンがあるようです。”

報告によると、Debian、Ubuntu、Linux Mint、Zorin OS、Puppy Linux などのいくつかのディストリビューションがすべて影響を受けます。 Microsoft はまだこのバグを公的に認めておらず、テスト中に発見されなかった経緯を説明したり、影響を受ける人々に技術的な指導を提供したりしていません。同社の代表者は回答を求める電子メールに応じなかった。

Microsoft の CVE-20220-2601 に関する情報では、この更新プログラムがインストールされると説明されています。 コマ— ブート パス内のさまざまなコンポーネントをオーバーライドするための Linux メカニズム。ただし、Windows のみを実行するように構成されたマシン上でのみ使用できます。こうすることで、Windows マシン上のセキュア ブートは、脆弱性を悪用する GRUB パッケージを運ぶ攻撃に対して脆弱になりません。 Microsoftはユーザーに対し、デュアルブートシステムは影響を受けないと保証しているが、古いバージョンのLinuxを実行しているマシンでは問題が発生する可能性があると警告している。

「SBAT 値は、Windows と Linux の両方を実行するデュアル ブート システムには適用されず、これらのシステムには影響しないはずです」とセキュリティ情報には記載されています。 「古い Linux ディストリビューションの ISO ファイルが機能しない場合があります。その場合は、Linux ベンダーと協力してアップデートを入手してください。」

実は近代化って、 彼は持っています Windows と Linux の両方を実行するデバイスに実装されます。これには、デュアル ブート デバイスだけでなく、Linux を実行できる Windows デバイスも含まれます。 ISOイメージまたは USB ドライブまたは光学メディア。さらに、影響を受けるシステムの多くは、Ubuntu 24.04 や Debian 12.6.0 など、最近リリースされた Linux バージョンを実行しています。

今は何ですか？

Microsoft はワイヤレスの沈黙に取り組んでいたため、この欠陥の影響を受ける企業は独自の解決策を見つけることを余儀なくされました。 1 つのオプションは、EFI ボードにアクセスしてセキュア ブートをオフにすることです。ユーザーのセキュリティのニーズによっては、このオプションが受け入れられない場合があります。短期的な最善の選択肢は、Microsoft が先週火曜日にプッシュした SBAT を削除することです。これは、ユーザーが CVE-2022-2601 を悪用する攻撃に対して脆弱なままである場合でも、セキュア ブートの利点の一部を享受できることを意味します。この治療の手順を説明しました ここ (ありがとう 何もない (参考までに)。

具体的な手順は次のとおりです。

1. セキュアブートを無効にする
2. Ubuntu ユーザーにログインし、ターミナルを開きます
3. 次のコマンドを使用して SBAT ポリシーを削除します。

コード： すべて選択

sudo mokutil –set-sbat-policy delete

4. コンピューターを再起動し、Ubuntu に再度ログインして、SBAT ポリシーを更新します。
5. 再起動し、BIOS でセキュア ブートを再度有効にします。

この事件は、セキュア ブートがいかに厄介になったか、あるいはおそらく常にそうだったかを浮き彫りにする最新の出来事です。過去 18 か月にわたって、研究者らはセキュリティ メカニズムを完全に破るために悪用される可能性のある少なくとも 4 つの脆弱性を発見しました。前回の最近のインシデントは、500 近くのデバイス モデルでセキュア ブート認証に使用されたテスト キーの結果でした。鍵には「信頼しないでください」という言葉が目立つようにマークされていました。

「最終的には、セキュア ブートにより Windows の実行はより安全になりますが、意図したほど安全ではなくなる欠陥が増えているようです」と、セキュリティ会社 Analygence の上級脆弱性アナリストである Will Dorman 氏は述べています。 「SecureBoot が厄介になるのは、Microsoft が王国の鍵を握っているにもかかわらず、単なる Microsoft のおもちゃではないからです。SecureBoot コンポーネントの脆弱性は、SecureBoot をサポートする Windows にのみ影響を与える可能性があります。したがって、Microsoft は脆弱なものに対処し、ブロックする必要があります。」